[Précédent : Raccourcis pour La Création des Jeux de Règles] [Index] [Suivant : Ancres]

PF : Options de Fonctionnement

Des options sont utilisées pour contrôler le fonctionnement de PF. Celles-ci sont spécifiées dans le fichier pf.conf en utilisant la directive set.

set block-policy option

Paramètre le comportement par défaut des règles de filtrage qui ont pour effet de bloquer les paquets (mot-clé "block").

• drop - Le paquet est détruit sans aucune notification.
• return - un paquet TCP RST est renvoyé pour les paquets TCP et un paquet ICMP Unreachable est renvoyé pour tous les autres.

Il est à noter que les règles de filtrage individuelles peuvent avoir leur propre réponse. drop est l'option par défaut.

set debug option

Permet de paramétrer le niveau de débogage de pf.

• none - aucun message de débogage n'est affiché.
• urgent - messages de débogage générés pour les erreurs sérieuses.
• misc - messages de débogage générés pour des erreurs diverses (par exemple pour voir le statut du sous-système scrub et pour les échecs de création d'état).
• loud - messages de débogage générés dans des conditions courantes (par exemple pour voir le statut de l'analyseur passif de signatures OS).

urgent est l'option par défaut.

set fingerprints option

Permet de paramétrer le fichier à partir duquel seront chargées les signatures de systèmes d'exploitation. Utilisé avec l'analyse passive de l'empreinte des OS. La valeur par défaut est /etc/pf.os.

set limit option value

Permet de paramétrer différentes limites.

• frags - nombre maximal d'entrées dans la zone mémoire utilisée pour le réassemblage de paquets (règles scrub). La valeur par défaut est 5000.
• src-nodes - nombre maximal des entrées dans la zone mémoire utilisée pour assurer un suivi des adresses IP sources (généré par les options sticky-address et source-track). La valeur par défaut est 10000.
• states - nombre maximal d'entrées dans la zone mémoire utilisée pour les entrées de la table d'état (règles de filtrage qui contiennent le mot-clé keep state). La valeur par défaut est 10000.
• tables - nombre maximal de tables tables pouvant être créées. La valeur par défaut est 1000.
• table-entries - La limite globale du nombre d'adresses pouvant être stockées dans toutes les tables. La valeur par défaut est 200000. Si le système à moins de 100 Mo de mémoire physique, la valeur par défaut est fixée à 100000.

set loginterface interface

Paramètre l'interface pour laquelle PF devra récupérer des statistiques telles que le nombre d'octets entrants/sortant les paquets acceptés/bloqués. Les statistiques ne peuvent être récupérées que pour une interface à la fois. Il est à noter que les indicateurs match, bad-offset, etc... et les indicateurs de la table d'état sont enregistrés que loginterface soit positionnée ou pas. Pour désactiver cette option, positionnez la à none. none est l'option par défaut.

set optimization option

Optimise PF pour l'un de ces environnements réseau :

• normal - convient à pratiquement tous les réseaux.
• high-latency - réseaux à haute latence tels que les réseaux à connexion satellite.
• aggressive - les connexions expirent plus rapidement de la table d'état. Les pré-requis mémoire sont ainsi fortement réduits sur un pare-feu particulièrement chargé au risque de terminer des connexions inactives trop rapidement.
• conservative - paramétrage extrêmement conservateur. Contrairement à aggressive, ce paramétrage évite de terminer les connexions inactives ce qui se traduit par une plus grande utilisation mémoire et une utilisation du processeur un peu plus soutenue.

normal est l'option par défaut.

set ruleset-optimization option

Contrôle le fonctionnement de l'optimiseur de jeu de règles PF.

• none - désactive complètement l'optimiseur.
• basic - active les optimisations suivantes :
  1. suppression des règles dupliquées
  2. suppression des règles qui sont un sous-ensemble d'une autre règle
  3. rassemblement de multiples règles dans une table lorsque c'est avantageux
  4. réordonnancement des règles afin d'améliorer les performances de l'évaluation de ces dernières
• profile - utilise le jeu de règles utilisé comme profil de feedback pour façonner l'ordonnancement des règles contenant le mot- clé "quick" selon le trafic réseau réel.

Depuis OpenBSD 4.2, la valeur par défaut est basic. Veuillez consulter pf.conf(5) pour une description plus complète.

set skip on interface

Saute tous les traitements PF sur l'interface. Ceci peut être utile sur une interface de loopback pour laquelle le filtrage, la normalisation, la mise en queue, etc... ne sont pas nécessaires. Elle peut être utilisée plusieurs fois. Elle n'est pas activée par défaut.

set state-policy option

Permet de paramétrer le comportement de PF vis-à-vis de la préservation de l'état des connexions. Ce comportement peut être contourné au niveau de chaque règle. Pour plus de détails, consultez la section de la FAQ intitulée Préservation de l'État.

• if-bound - les états sont liés à l'interface sur lesquels ils ont été créés. Si le trafic correspond à une entrée de la table d'états mais qu'il ne traverse pas l'interface sur laquelle l'état a été enregistré, cette correspondance est rejetée. Le paquet doit alors correspondre à une règle de filtrage ou il sera tout simplement détruit/rejeté.
• floating - les états peuvent correspondre à des paquets sur n'importe quelle interface. Peu importe l'interface qu'il traverse, un paquet sera accepté tant qu'il correspond à une entrée dans la table d'états et qu'il transite dans le même sens qu'il le fit initialement lors de la création de l'état, peu importe l'interface qu'il traverse, il passera.

floating est l'option par défaut.

set timeout option value

Permet de paramétrer différents timeouts (en secondes).

• interval - nombre de secondes entre les purges d'états expirés et des fragments de paquets. La valeur par défaut est 10.
• frag - nombre de secondes avant qu'un fragment non assemblé n'expire. La valeur par défaut est 30.
• src.track - nombre de secondes pendant lesquelles garder l'entrée source tracking en mémoire après que le dernier état ait expiré. La valeur par défaut est 0 (zero).

Exemple :

set timeout interval 10 set timeout frag 30 set limit { frags 5000, states 2500 } set optimization high-latency set block-policy return set loginterface dc0 set fingerprints "/etc/pf.os.test" set skip on lo0 set state-policy if-bound

[Précédent : Raccourcis pour La création des Jeux de Règles] [Index] [Suivant : Ancres]